Zihao

Make small but daily progress

0%

0x14--智能合约安全

以太坊智能合约中的安全问题持续收集中。

外部函数调用安全性

转账给别的地址,使用call,send等方式小心循环攻击。尤其注意send,callvalue,split 等函数。

举例:

  • the DAO

函数可见性

数学运算安全

整型溢出

“随机数”与时间戳依赖

矿工预先得知。

举例:

  • The casino with a public RNG seed

合约数据可见性

谨慎使用汇编注入

代码逻辑错误

代码拼写错误,逻辑漏洞。

举例:

  • FirePonzi

所有权失控

构造函数拼写错误,导致任何人可以获得控制权

举例:

  • Parity 钱包
  • Rubixi
  • MakerDAO

上溢/下溢

20种溢出情况

Dos with Throw

低成本阻塞,比如投标的合约

Dos with Block Gas Limit

for 循环内的转账

call Depth

调用超过次数限制,EIP150 已经修复

欢迎关注我的其它发布渠道